Passer au contenu

La quasi-totalité des voitures sont vulnérables à une méchante faille de sécurité

Des chercheurs en sécurité informatique ont récemment prouvé qu’un protocole de communication présent sur quasiment toutes les voitures actuelles contenait une vulnérabilité impossible à corriger.

Voilà une découverte un tantinet effrayante. En partenariat avec des chercheurs de l’université polytechnique de Milan et des Canadiens de LinkLayer Labs, la firme de sécurité Trend Micro a montré qu’une vulnérabilité existant dans le protocole de communication interne de la plupart des voitures pouvait être exploitée par des pirates pour déconnecter les systèmes de sécurité… ou voler le véhicule.

Les chercheurs ont mis en évidence une vulnérabilité dans le standard CAN (Controller Area Network), développé par Bosch en 1983 et utilisé depuis dans la grande majorité des voitures. Son rôle est de simplifier l’interconnexion et la communication entre l’ordinateur de bord et plusieurs groupes de composants : ceux liés au confort du véhicule, ceux qui aident à la détection des pannes mais aussi les composants dits de sécurité comme les airbags, les capteurs de chocs ou l’ABS.

Les bus CAN servent à la maintenance du véhicule, mais participent aussi à votre confort de conduite. Ils peuvent par exemple permettre à la radio d’augmenter le volume du son lorsqu’ils repèrent un changement de vitesse… Mais dans le lot de messages qui circulent, il y a parfois des erreurs que le système gère en renouvelant l’envoi d’un message entre deux éléments. Et lorsqu’un composant envoie trop de messages d’erreur il est coupé du circuit CAN pour empêcher qu’il n’entraîne des erreurs sur les autres modules.

C’est justement sur cette fonction que se sont concentrés les chercheurs. Ils ont réussi à la déclencher de manière artificielle, en créant une attaque par déni de service qui oblige le système à désactiver divers éléments de la voiture comme l’ABS, la fermeture des portes ou encore les airbags. Comme on peut le voir ci-dessous, il se sont servis d’une simple carte Arduino reliée à la prise OBD de leur voiture cible pour commettre leur forfait.

Que l’on se rassure tout de même. Pour qu’un hacker pirate ainsi votre voiture, il lui faudrait donc dans la plupart des cas un accès physique au véhicule. Sauf s’il parvenait à profiter d’une autre faille sur un véhicule connecté (en 4G ou en Wi-Fi par exemple).

Le véritable souci, c’est surtout que ce problème global est quasi impossible à corriger : pour éliminer entièrement cette faille, il faudrait développer un tout nouveau standard plus sécurisé. Une procédure longue et fastidieuse… qui ne changerait rien de toute façon pour toutes les voitures déjà en circulation. Les chercheurs offrent cependant des pistes aux constructeurs pour limiter les risques. Notamment le chiffrement des communications CAN ou une protection physique du port OBD.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Cécile BOLESSE